Эксперты предупреждают: RCE-уязвимость в Zimbra Collaboration Suite (ZCS), получившая 9,8 балла по шкале оценки уязвимостей CVSS, уже находится под атаками, о чем пользователи писали еще в сентябре. Баг позволяет злоумышленникам загружать произвольные файлы и выполнять вредоносные действия на уязвимых установках ZCS.
0-day получил идентификатор CVE-2022-41352 и связан с методом, который антивирусное ядро Zimbra (Amavis) использует при сканировании входящих сообщений электронной почты. По данным аналитиков Rapid7, злоумышленник может воспользоваться этой уязвимостью, отправив по почте на уязвимый сервер специально подготовленный файл .cpio, .tar или .rpm .
«Когда Amavis проверяет файл на наличие вредоносных программ, он использует Cpio для извлечения файла. Поскольку у Cpio нет режима, в котором можно было бы безопасно использовать ненадежные файлы, злоумышленник может осуществить запись по любому пути в файловой системе, к которому имеет доступ пользователь Zimbra», — отмечают в Rapid7.
Злоумышленник также может использовать проблему CVE-2022-41352 для размещения шелла в корневом каталоге и добиться удаленного выполнения кода. При этом исследователи полагают, что, вероятно, существуют и другие способы эксплуатации.
Новая уязвимость похожа на другую проблему, CVE-2022-30333, которой можно воспользоваться с помощью специально подготовленных файлов RAR. Согласно Rapid7, обе проблемы являются побочными продуктами старого бага CVE-2015-1197, Linux-уязвимости, которую нельзя использовать, если только приложение не использует Cpio для извлечения ненадежных архивов. Хотя для успешной эксплуатации требуется уязвимая версия Cpio, из-за CVE-2015-1197 уязвима практически любая система Linux, если не установлена утилита Pax.
Хотя патча для свежей проблемы CVE-2022-41352 пока нет, разработчики Zimbra уже признали наличие уязвимости и предложили временное решение для защиты от нее. Фактически, в компании советуют попросту заменить Cpio утилитой Pax.
«Все администраторы должны убедиться, что пакет Pax установлен на их сервере Zimbra. Pax нужен Amavis для извлечения содержимого сжатых вложений для сканирования на вирусы. Если пакет Pax не установлен, Amavis будет использоваться Cpio, и к сожалению, этот откат реализован Amavis некорректно и позволяет неаутентифицированному злоумышленнику создавать и перезаписывать файлы на сервере Zimbra, включая веб-сайт Zimbra», — пишут в разработчики.
Компания обещает сделать Pax обязательным с выходом следующего патча, что должно полностью решить проблему.
Более того, в Rapid7подчеркиваеют, что многие дистрибутивы Linux, официально поддерживаемые Zimbra, по-прежнему не устанавливают Pax по умолчанию. В их числе Oracle Linux 8, Red Hat Enterprise Linux 8, Rocky Linux 8 и CentOS 8. Более старые выпуски Ubuntu LTS, 18.04 и 20.04, включают Pax, однако пакет был удален в версии 22.04.
